Обеспечение безопасности сети на базе ОС Windows

Администратор может разрешить выполнение только тех сценариев, которые подписаны определенными организациями, и работа таких вирусов-сценариев, как ILOVEYOU.VBS, станет невозможной. Политика также позволяет управлять тем, какие приложения пользователям разрешено устанавливать на своих компьютерах.
Политика ограничения применяется и на изолированных компьютерах при конфигурировании политики локальной защиты. Она также интегрируется с групповой политикой и Active Directory. Можно задать разные политики ограничения используемых приложений для различных подмножеств пользователей или компьютеров. Компьютер Windows XP можно задействовать и для создания политики ограничения используемых приложений в среде Windows 2000. Windows 2000-компьютеры в домене игнорируют эту политику, компьютеры с Windows XP приводят ее в исполнение.
Политика ограничения используемых приложений создается в оснастке Group Policy консоли управления Microsoft Management Console (MMC) и состоит из заданного по умолчанию правила, определяющего, разрешено или запрещено выполнение определенных программ. Стандартное правило предусматривает два варианта: unrestricted ("неограниченно") и disallowed ("запрещено"). Если стандартное правило установлено в режим unrestricted, администратор может определять исключения, т. е. указывать программы, которые запускать запрещено. Более безопасный подход - изначально установить общее запрещение (режим disallowed), а затем выбрать только те программы, которые запускать разрешено.
6. Протокол IPSec и поддержка смарт-карт

Безопасность IP-сетей - почти стандартное требование в нынешнем деловом мире с Интернетом, интрасетями, отделениями и удаленным доступом. Поскольку конфиденциальная информация постоянно пересылается по сети, сетевые администраторы и другие специалисты службы поддержки должны обеспечить защиту этого трафика от:
изменения данных при пересылке;
перехвата, просмотра и копирования;
несанкционированного олицетворения (или маскарадинга) определенных ролей;
перехвата и повторного использования для получения доступа к конфиденциальным ресурсам (для этого обычно применяется зашифрованный пароль) .
Службы безопасности призваны обеспечить целостность, конфиденциальность и проверку подлинности данных, а также защиту от их повторного использования для получения доступа.
Протокол IP не имеет стандартного механизма безопасности, и IP-пакеты легко перехватывать, просматривать, изменять, пересылать повторно и фальсифицировать. Без защиты и открытые, и частные сети подвержены несанкционированному доступу. Внутренние атаки - это обычно результат слабой или вообще отсутствующей защиты интрасети. Риски внешних атак обусловлены подключением к Интернету и экстрасетям. Одно лишь основанное на паролях управление доступом пользователей не обеспечивает безопасности данных, пересылаемых по сети.
Вот почему сообщество Internet Engineering Task Force (IETF) разработало IPSec - протокол сетевого уровня для проверки подлинности, целостности и конфиденциальности данных, а также защиту от повторов. Поддержка IPSec встроена в Windows 2000 и Windows XP Professional. Таким образом, эти системы - хорошая основа для создания защищенных интрасетей и связи через Интернет. В них применяются стандартные отраслевые алгоритмы шифрования и всеобъемлющий подход к управлению системой безопасности для защиты всего обмена по протоколу TCP/IP на обеих сторонах брандмауэра организации. В результате стратегия сквозной безопасности Windows 2000 и Windows XP Professional защищает и от внешних, и от внутренних атак.
IP-безопасность располагается ниже транспортного уровня, сокращая усилия сетевых администраторов, которым обычно приходится обеспечивать защиту последовательно для каждого приложения. Развертывание протокола IPSec в Windows XP Professional и Windows 2000 позволяет обеспечить высокий уровень безопасности всей сети, при этом приложения на серверах и клиентах, поддерживающих IPSec, защищаются автоматически.
Криптографические механизмы защиты. Для предупреждения нападений в IPSec служат криптографические механизмы. Они защищают информацию путем хеширования и шифрования.
Для защиты информации используются алгоритм и ключ.
Алгоритм - это последовательность математических действий для преобразования информации, а ключ - секретный код или число, необходимый для чтения, изменения или проверки защищенных данных.
Уровень безопасности для данного сеанса в IPSec определяется политикой. Политика обычно назначается в распределенных системах через контроллеры домена с Windows xp или создается и хранится локально в реестре компьютера с Windows XP Professional.
IPSec в работе. Перед передачей любых данных компьютер с поддержкой IPSec согласовывает с партнером по связи уровень защиты, используемый в сеансе. В процессе согласования определяются методы аутентификации, хеширования, туннелирования (при необходимости) и шифрования (также при необходимости). Секретные ключи проверки подлинности создаются на каждом компьютере локально на основании информации, которой они обмениваются. Никакие реальные ключи никогда не передаются по сети. После создания ключа выполняется проверка подлинности и начинается сеанс защищенного обмена данными.
Уровень безопасности (высокий или низкий) определяется политиками IP-безопасности обменивающихся компьютеров. Скажем, для связи между компьютером с Windows XP Professional и компьютером, не поддерживающим IPSec, создание защищенного канала не требуется. С другой стороны, в сессии обмена между Windows 2000-сервером, содержащим конфиденциальные данные, и компьютером в интрасети обычно нужна высокая степень безопасности.
Поддержка смарт-карт. Смарт-карта - это устройство с интегральной схемой размером с кредитную карточку, предназначенное для безопасного хранения открытых и закрытых ключей, паролей и прочей личной информации. Она служит для операций шифрования с открытым ключом, проверки подлинности, введения цифровой подписи и обмена ключами.
Смарт-карта предоставляет следующие функции:
особо защищенное хранилище для закрытых ключей и другой частной информации;
изоляцию чрезвычайно важных для безопасности вычислений, в том числе проверки подлинности, цифровой подписи и обмена ключами, от других компонентов системы, которые напрямую не работают с этими данными;
свободу перемещения реквизитов пользователей и другой частной информации между компьютерами на работе и дома, а также удаленными компьютерами.
PIN вместо пароля. Для активизации смарт-карт применяются PIN-коды (Personal Identification Number - персональный идентификационный номер), а не пароли. Код известен только владельцу смарт-карты, что повышает надежность защиты. Для активизации смарт-карты пользователь вводит ее в подключенное к компьютеру устройство чтения и в ответ на запрос системы вводит свой PIN-код.
PIN-код надежнее обычных сетевых паролей. Пароли (или их производные, например, хеш) передаются по сети и подвержены атакам. Устойчивость пароля к взлому зависит от его длины, надежности механизма защиты пароля и от того, насколько трудно его угадать. С другой стороны, PIN-код никогда не передается по сети, и поэтому его нельзя перехватить анализатором пакетов. Дополнительное средство защиты - блокировка смарт-карты после нескольких неудачных попыток подряд ввести PIN-код, что сильно затрудняет подбор кода. Разблокировать смарт-карту может только администратор системы.
Стандарты смарт-карт. Windows xp работает со стандартными смарт-картами и устройствами чтения смарт-карт, поддерживающими спецификацию PC/SC (Personal Computer/Smart Card), определенную рабочей группой PC/SC Workgroup, а также технологию Plug and Play. Для поддержки спецификации PC/SC 1.0 в Windows смарт-карта должна конструктивно и по электрическим характеристикам соответствовать стандартам ISO 7816-1, 7816-2 и 7816-3.
Устройства чтения смарт-карт подключают к стандартным интерфейсам периферийных устройств персонального компьютера, таким как RS-232, PS/2, PCMCIA и USB. Некоторые устройства чтения смарт-карт с интерфейсом RS-232 оборудованы дополнительным кабелем, подключаемым к порту PS/2 и используемым для питания устройства. PS/2-порт применяется только для питания, но не для передачи данных.
Устройства чтения смарт-карт считаются стандартными устройствами Windows со своим дескриптором безопасности и PnP-идентификатором. Они управляются стандартными драйверами устройств Windows и устанавливаются и удаляются средствами мастера Hardware wizard.
В Windows 2000 Server и Windows XP Professional имеются драйверы для многих коммерческих PnP-устройств чтения смарт-карт с логотипом совместимости с Windows. Некоторые производители поставляют драйверы для несертифицированных устройств чтения, которые в настоящее время работают с Windows. И все же для обеспечения постоянной поддержки Microsoft рекомендуется приобретать устройства чтения смарт-карт, имеющие логотип совместимости с Windows.
Вход в систему с использованием смарт-карты. Смарт-карты применяются для входа только под доменными, но не локальными учетными записями. Если вход в систему в интерактивном режиме под учетной записью домена в Windows 2000 Server и Windows XP Professional выполняется по паролю, используется протокол проверки подлинности Kerberos v5. При входе со смарт-картой ОС использует Kerberos v5 с сертификатами X.509 v3, если только контроллер домена не работает под Windows 2000 Server.
Если вместо пароля применяется смарт-карта, хранимая на ней пара ключей заменяется общим секретным ключом, созданным на основе пароля. Закрытый ключ есть только на смарт-карте. Открытый ключ предоставляется всем, с кем нужно обмениваться конфиденциальной информацией.
Применение смарт-карт для администрирования. Администраторы выполняют свою обычную работу под учетной записью простого пользователя, а привилегированную административную учетную запись применяют для администрирования. Такие инструментальные средства и утилиты, как Net.exe и Runas.exe, позволяют им работать с дополнительными реквизитами. В Windows XP Professional служебные программы также применяются для управления реквизитами на смарт-картах.
7. Kerberos v5

В Windows 2000 и Windows XP Professional реквизиты предоставляются в виде пароля, билета Kerberos или смарт-карты (если компьютер оборудован для работы со смарт-картами).
Протокол Kerberos v5 обеспечивает взаимную проверку подлинности клиента (например, пользователя, компьютера или службы) и сервера. Kerberos v5 предоставляет для серверов высокоэффективные средства аутентификации клиентов даже в чрезвычайно сложных сетевых средах.

Рис. 8. Протокол Kerberos v5

Протокол Kerberos основан на предположении, что начальный обмен между клиентами и серверами выполняется в открытой сети, т. е. в такой, где любой неавторизованный пользователь может имитировать клиент или сервер, перехватывать или подделывать сообщения между полномочными клиентами и серверами. Kerberos v5 поддерживает защищенный и эффективный механизм проверки подлинности в сложных сетях с клиентами и ресурсами.
В Kerberos v5 применяется секретный (симметричный) ключ шифрования для защиты передаваемых по сети реквизитов входа в систему. Этот же ключ использует получатель для расшифровки реквизитов. Расшифровка и все последующие шаги выполняются службой центра распространения ключей Kerberos, работающей на каждом контроллере домена в составе Active Directory.
Аутентификатор. Аутентификатор - это информация (например, метка времени), уникальная для каждого сеанса проверки и присоединяемая к зашифрованным реквизитам входа в систему для гарантии того, что переданное ранее сообщение с реквизитами не используются повторно.
Для подтверждения получения и принятия исходного сообщения генерируется новый аутентификатор и присоединяется к зашифрованному ответу KDC клиенту. Если реквизиты входа в систему и аутентификатор удовлетворяют KDC, он выпускает билет TGT (ticket-granting ticket), на основании которого диспетчер локальной безопасности (Local Security Authority, LSA) получает билеты служб. Билеты служб содержат зашифрованные данные, подтверждающие подлинность клиента, и применяются для получения доступа к сетевым ресурсам без дополнительной проверки подлинности на все время действия билета. Начальный ввод пароля или реквизитов со смарт-карты "виден" пользователю, все остальное происходит автоматически ("прозрачно") без его участия.
Служба центра распространения ключей Kerberos. Эта служба применяется совместно с протоколом проверки подлинности Kerberos для аутентификации запросов на вход в систему в соответствии с данными в Active Directory.
Kerberos v5 используется в Windows 2000 Server и Windows XP Professional по умолчанию, но для нормальной работы этого протокола требуется, чтобы и контроллеры домена, и клиентские компьютеры работали под управлением Windows 2000 или Windows XP Professional. Если это условие не соблюдается, используется протокол NTLM.
Заключение

Таким образом, обеспечение безопасности сети – это один из принципов построения эффективной компьютерной (офисной) сети.
Обеспечение безопасности сети требует постоянной работы и пристального внимания к деталям. Эта работа заключается в предсказании возможных действий злоумышленников, планировании мер защиты и постоянном обучении пользователей. Если же вторжение состоялось, то администратор безопасности должен обнаружить брешь в системе защиты, ее причину и метод вторжения. Формируя политику обеспечения безопасности, администратор, прежде всего, проводит инвентаризацию ресурсов, защита которых планируется; идентифицирует пользователей, которым требуется доступ к каждому из этих ресурсов, и выясняет наиболее вероятные источники опасности для каждого из этих ресурсов. Имея эту информацию, можно приступать к построению политики обеспечения безопасности, которую пользователи будут обязаны выполнять.
Для обеспечения безопасности компьютерной сети необходимо произвести настройки компьютеров, входящих в локальную сеть: на всех компьютерах должно быть установлены все программные обновления, доступные на данный момент; также должно быть установлено и настроено антивирусное программное обеспечение со свежими антивирусными базами; файловая система должна быть NTFS, она намного безопаснее, чем FAT32; отключить неиспользуемые службы, это закроет неиспользуемые открытые порты и немножко ускорит компьютер; ограничить права доступа пользователя, это снизит риск проникновения вредоносного ПО в компьютер. Также следует запретить удаленный доступ к компьютеру. Сменить все пароли, которые были установлены по умолчанию (пароль администратора и т.д.); настроить подключение, желательно оставить только TCP/IP. Все остальные отключить.
Список используемых источников

Берлинер Э.М., Глазырина И.Б., Глазырин Б.Э. MS Windows XP. К вершинам мастерства. 2- изд. – М.: Бином, 2007. – 512 с.
Вирт Н. Настройка Windows Server 2003. / Пер. с англ. – М.: МИР, 2004. – 258 с.
Вычислительные системы, сети и телекоммуникации: Учебник / А.П. Пятибратов, Л.П. Гудыно, А.А. Кириченко; Под ред. А.П. Пятибратова. – М.: Финансы и статистика, 2002. – 400 с.
Вычислительные машины, системы и сети. Уч. для вузов / А.П. Пятибратов, С.Н. Беляев, Г.М. Козырева и др.; Под ред. проф. А.П. Пятибратова - М.: Финансы и статистика, 2003. - 400 с.
Гралла П., Аллен Р. Windows XP. Сборник рецептов. Для профессионалов. – СПб.: Питер Пресс, 2007. – 653 с.
Зихерт К., Ботт Э. Локальные сети и безопасность Microsoft Windows XP. Inside Out (+ CD-ROM). – М.: Эком, 2007. – 944 с.
Станек У.Р. Microsoft Windows XP Professional. Справочник администратора - 3 изд. - М.: Русская редакция, 2006. – 448 с.
http://www.coders-library.ru/news-print-178.html - Стратегия безопасности Windows XP.

Вычислительные системы, сети и телекоммуникации: Учебник / А.П. Пятибратов, Л.П. Гудыно, А.А. Кириченко; Под ред. А.П. Пятибратова. – М.: Финансы и статистика, 2002. – С. 178.
Берлинер Э.М., Глазырина И.Б., Глазырин Б.Э. MS Windows XP. К вершинам мастерства. 2- изд. – М.: Бином, 2007. – С. 133.
Берлинер Э.М., Глазырина И.Б., Глазырин Б.Э. MS Windows XP. К вершинам мастерства. 2- изд. – М.: Бином, 2007. – С. 135.
Берлинер Э.М., Глазырина И.Б., Глазырин Б.Э. MS Windows XP. К вершинам мастерства. 2- изд. – М.: Бином, 2007. – С. 136.
Гралла П., Аллен Р. Windows XP. Сборник рецептов. Для профессионалов. – СПб.: Питер Пресс, 2007. – С. 215.
Зихерт К., Ботт Э. Локальные сети и безопасность Microsoft Windows XP. Inside Out (+ CD-ROM). – М.: Эком, 2007. – С. 510.
Берлинер Э.М., Глазырина И.Б., Глазырин Б.Э. MS Windows XP. К вершинам мастерства. 2- изд. – М.: Бином, 2007. – С. 138.
http://www.coders-library.ru/news-print-178.html - Стратегия безопасности Windows XP.
Вирт Н. Настройка Windows Server 2003. / Пер. с англ. – М.: МИР, 2004. – С. 161.
http://www.coders-library.ru/news-print-178.html - Стратегия безопасности Windows XP.
Зихерт К., Ботт Э. Локальные сети и безопасность Microsoft Windows XP. Inside Out (+ CD-ROM). – М.: Эком, 2007. – С. 514.
Берлинер Э.М., Глазырина И.Б., Глазырин Б.Э. MS Windows XP. К вершинам мастерства. 2- изд. – М.: Бином, 2007. – С. 153.
Станек У.Р. Microsoft Windows XP Professional. Справочник администратора - 3 изд. - М.: Русская редакция, 2006. – С. 160.
Берлинер Э.М., Глазырина И.Б., Глазырин Б.Э. MS Windows XP. К вершинам мастерства. 2- изд. – М.: Бином, 2007. – С. 161.
Зихерт К., Ботт Э. Локальные сети и безопасность Microsoft Windows XP. Inside Out (+ CD-ROM). – М.: Эком, 2007. – С. 520.
Зихерт К., Ботт Э. Локальные сети и безопасность Microsoft Windows XP. Inside Out (+ CD-ROM). – М.: Эком, 2007. – С. 529.












41